RANSOM64_DYNACRYPT.A
HEUR:Trojan.Win32.Generic (KASPERSKY), W32/Generic.NHD!tr (FORTINET)
Windows
Threat Type:
Ransomware
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Roba información confidencial como nombres de usuario y contraseñas utilizadas para juegos concretos.
TECHNICAL DETAILS
Instalación
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- %All Users Profile%\helper.exe
- %All Users Profile%\rec.exe
- %All Users Profile%\cwin.exe <- detected as Ransom_Genasom.R047C0DBA17
- %ProgramData%\helper.exe
- %ProgramData%\rec.exe
- %ProgramData%\cwin.exe <- detected as Ransom_Genasom.R047C0DBA17
- %AppDataLocal%\dyna\cry.exe <- detected as Ransom_DYNACRYPT.THAOEH
- %AppDataLocal%\dyna\kl.exe <- detected as Ransom_Genasom.R002C0DD417
- %AppDataLocal%\dyna\st.exe <- Ransom_DYNACRYPT.THAOEH
- %AppDataLocal%\dyna\res
- %AppDataLocal%\dyna\loot\Keylog\keylog_{date & time}.log <- contains keylog strokes
Crea las carpetas siguientes:
- %AppDataLocal%\dyna
- %AppDataLocal%\dyna\loot
- %AppDataLocal%\dyna\loot\Keylog
Rutina de infiltración
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Robo de información
Roba información confidencial como nombres de usuario y contraseñas utilizadas para los siguientes juegos:
- Minecraft
- Steam
- TS3
Recopila los siguientes datos:
- Keylog strokes
- Screenshots
Información sustraída
Este malware guarda la información robada en el archivo siguiente:
- %AppDataLocal%\dyna\loot\Chrome\Cookies
- %AppDataLocal%\dyna\loot\Chrome\History
- %AppDataLocal%\dyna\loot\Firefox\key3.db
- %AppDataLocal%\dyna\loot\Firefox\places.sqlite
- %AppDataLocal%\dyna\loot\Firefox\Keylog\keylog_{date & time}.log
- %AppDataLocal%\dyna\loot\Minecraft
- %AppDataLocal%\dyna\loot\Screenshots
- %AppDataLocal%\dyna\loot\Skype
- %AppDataLocal%\dyna\loot\Steam
- %AppDataLocal%\dyna\loot\Thunderbird
- %AppDataLocal%\dyna\loot\TS3
- %AppDataLocal%\dyna\loot\browserpass.txt
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Buscar y eliminar estas carpetas
- %AppDataLocal%\dyna
Step 5
Buscar y eliminar estos archivos
- %All Users Profile%\helper.exe
- %All Users Profile%\rec.exe
- %All Users Profile%\cwin.exe
- %ProgramData%\helper.exe
- %ProgramData%\rec.exe
- %ProgramData%\cwin.exe
- %All Users Profile%\helper.exe
- %All Users Profile%\rec.exe
- %All Users Profile%\cwin.exe
- %ProgramData%\helper.exe
- %ProgramData%\rec.exe
- %ProgramData%\cwin.exe
Step 6
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM64_DYNACRYPT.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.